1、安華金和數(shù)據(jù)庫(kù)安全等保行業(yè)解決方案4安華金和數(shù)據(jù)庫(kù)安全等保行業(yè)解決方案一.方案概述在等級(jí)保護(hù)中，數(shù)據(jù)庫(kù)安全建設(shè)的總體目標(biāo)，一是要保證核 心數(shù)據(jù)庫(kù)自身的安全性，確保數(shù)據(jù)庫(kù)不會(huì)受到攻擊造成業(yè)務(wù)系統(tǒng) 的癱瘓；二是要求保證數(shù)據(jù)的保密性和完整性，對(duì)核心數(shù)據(jù)庫(kù)中 的敏感數(shù)據(jù)進(jìn)行有效的安全防護(hù)，確保關(guān)鍵數(shù)據(jù)不泄密，不被違 規(guī)篡改；三是在數(shù)據(jù)庫(kù)使用過程中及時(shí)發(fā)現(xiàn)安全問題，防患于未 然，按修復(fù)建議進(jìn)行安全加固。信息系統(tǒng)的核心數(shù)據(jù)存在數(shù)據(jù)庫(kù)中的，數(shù)據(jù)庫(kù)作為核心數(shù)據(jù) 資產(chǎn)載體，一旦發(fā)生無意識(shí)危險(xiǎn)操作、信息泄露、惡意篡改，都 將造成最為慘痛的損失。據(jù)Verizon 2012數(shù)據(jù)泄露調(diào)查報(bào)告，數(shù) 據(jù)庫(kù)服務(wù)器占泄露記錄總

2、數(shù)的96%，成為頭號(hào)可能的泄露數(shù)據(jù) 源。隨著當(dāng)前業(yè)務(wù)系統(tǒng)及數(shù)據(jù)庫(kù)的部署規(guī)模、訪問人員和密集度 的不斷增加，來自于外部攻擊者、第三方運(yùn)維和開發(fā)人員、內(nèi)部 維護(hù)人員的威脅訪問，給企業(yè)數(shù)據(jù)安全帶來了嚴(yán)峻的挑戰(zhàn)。安華金和等保數(shù)據(jù)庫(kù)安全解決方案對(duì)應(yīng)等保安全要求的數(shù) 據(jù)庫(kù)防護(hù)思路如下表：1.1安全威脅分析外部威脅目前已知的來自外部黑客常見的攻擊手段和漏洞包括：SQL 注入、緩沖區(qū)溢出、拒絕服務(wù)、提權(quán)等，也有利用未及時(shí)安裝補(bǔ)丁、缺省安裝漏 洞、程序后門和危險(xiǎn)代碼破壞權(quán)限體系，導(dǎo)致數(shù)據(jù)庫(kù)服務(wù)終止和敏感數(shù)據(jù)泄密；內(nèi)部運(yùn)維人員和DBA明文存儲(chǔ)的安全威脅，使得數(shù)據(jù)文件、備份文件被拷貝后， 可以輕易恢復(fù)。DBA等高權(quán)

3、限用戶可以隨時(shí)任意地訪問門能干數(shù)據(jù)；弱口令的存在，使得容易被人暴力破解或嘗試成功，訪問敏 感數(shù)據(jù)導(dǎo)致泄密和篡改；第三方運(yùn)維和開發(fā)人員知道數(shù)據(jù)庫(kù)管理員賬號(hào)，主要威脅在于假冒正常應(yīng)用賬戶、 合法DB用戶繞過應(yīng)用程序使用命令行工具訪問數(shù)據(jù)庫(kù)、通過數(shù) 據(jù)庫(kù)客戶端批量導(dǎo)出敏感信息導(dǎo)致泄密。管理內(nèi)部人員、第三方維護(hù)人員的誤操作、維護(hù)操作、越權(quán)操作 和惡意操作，多人共用一個(gè)賬號(hào)，責(zé)任難以分清，超級(jí)管理員操作難以監(jiān)管和審計(jì)。1.2等級(jí)保護(hù)對(duì)數(shù)據(jù)庫(kù)安全的要求在等級(jí)保護(hù)基本要求中的位置數(shù)據(jù)庫(kù)安全是主機(jī)安全的 一個(gè)部分，數(shù)據(jù)庫(kù)的測(cè)評(píng)指標(biāo)是從“主機(jī)安全”和“數(shù)據(jù)安全及 備份恢復(fù)”中根據(jù)數(shù)據(jù)庫(kù)的特點(diǎn)映射得到的。對(duì)三級(jí)及

4、以上系統(tǒng) 中的關(guān)鍵敏感數(shù)據(jù)安全防護(hù)，提出了嚴(yán)格要求。數(shù)據(jù)保密性。要求“實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)的存儲(chǔ) 保密性”。訪問控制強(qiáng)調(diào)了最小授權(quán)原則，使得用戶的權(quán)限最小化，同時(shí)要求對(duì) 重要信息資源設(shè)置敏感標(biāo)記。安全審計(jì)要求“對(duì)用戶行為、安全事件等進(jìn)行記錄”。具體等保要求參見附件1等保三級(jí)對(duì)應(yīng)項(xiàng)表中的功能和 基本項(xiàng)。1.3等保數(shù)據(jù)庫(kù)安全整體規(guī)劃本方案通過對(duì)安全威脅的分析，進(jìn)行整體設(shè)計(jì)與規(guī)劃，系列 安全產(chǎn)品相互之間分工協(xié)作，共同形成整體的防護(hù)體系，覆蓋了數(shù)據(jù)庫(kù)安全防護(hù)的事前診斷、事中控制和事后分析。事前診斷：通過數(shù)據(jù)庫(kù)漏掃產(chǎn)品，有效檢測(cè)數(shù)據(jù)庫(kù)已知漏 洞，并有效修復(fù)。定期進(jìn)行數(shù)據(jù)庫(kù)安全檢查，防

5、患于未然，對(duì)數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn) 進(jìn)行綜合評(píng)估，使用專門的數(shù)據(jù)庫(kù)漏洞掃描系統(tǒng)，對(duì)生產(chǎn)域中數(shù) 據(jù)庫(kù)的安全現(xiàn)狀進(jìn)行全面檢測(cè)。安全漏洞項(xiàng)包括：弱口令、缺省 口令、弱安全策略、權(quán)限寬泛、敏感數(shù)據(jù)發(fā)現(xiàn)、權(quán)限提升漏洞、 補(bǔ)丁升級(jí)等，評(píng)估是否存在安全漏洞并提供修復(fù)建議，為系統(tǒng)的 安全配置提升提供有效的參考。事中控制：通過數(shù)據(jù)庫(kù)防火墻和數(shù)據(jù)庫(kù)加密解決。數(shù)據(jù)庫(kù)防火墻-從訪問源頭來保護(hù)數(shù)據(jù)，監(jiān)測(cè)數(shù)據(jù)庫(kù)的訪問， 防止未授權(quán)的訪問、SQL Injection,權(quán)限或角色的非法提升以及 對(duì)敏感數(shù)據(jù)的非法訪問。高度精準(zhǔn)的基于SQL語(yǔ)法的分析，避 免誤判；基于黑、白名單的靈活的SQL級(jí)策略設(shè)置；支持Bypass 和Proxy及混

6、合部署模式，支持高可用，最大限度的適應(yīng)企業(yè)需 求；虛擬補(bǔ)丁技術(shù)避免數(shù)據(jù)庫(kù)因?yàn)椴荒苓M(jìn)行補(bǔ)丁升級(jí)而造成的惡 意訪問。在數(shù)據(jù)庫(kù)中加密存儲(chǔ)敏感信息防止被解析為明文，通過獨(dú)立 于數(shù)據(jù)庫(kù)的權(quán)控體系和引入安全管理員、審計(jì)管理員實(shí)現(xiàn)三權(quán)分 立的安全管理手段，防止DBA、第三方外包人員和程序開發(fā)人 員越權(quán)訪問敏感信息，結(jié)合動(dòng)態(tài)口令卡和SQL級(jí)API與應(yīng)用系 統(tǒng)進(jìn)行綁定解決繞過應(yīng)用程序非法訪問數(shù)據(jù)庫(kù)的問題。事后分析：通過數(shù)據(jù)庫(kù)審計(jì)技術(shù)解決。網(wǎng)絡(luò)旁路審計(jì)通過在核心路由設(shè)備上設(shè)置端口鏡像或采用 分流監(jiān)聽，使安全審計(jì)能夠監(jiān)聽到所有用戶通過路由設(shè)備與數(shù)據(jù) 庫(kù)進(jìn)行通訊的操作，并把數(shù)據(jù)庫(kù)操作進(jìn)行協(xié)議還原和分析，細(xì)致 的數(shù)據(jù)庫(kù)

7、操作審計(jì)和用戶審計(jì)，并有豐富的查詢檢索和報(bào)表功 能，維護(hù)簡(jiǎn)單、具備專業(yè)審計(jì)功能，節(jié)約人力，減少維護(hù)費(fèi)用。具體解決手段參見附件1等保三級(jí)對(duì)應(yīng)項(xiàng)表中的防護(hù)的 備選產(chǎn)品和保護(hù)效果。二.數(shù)據(jù)庫(kù)安全整體保護(hù)措施1.1.數(shù)據(jù)庫(kù)安全事前檢測(cè)本方案規(guī)劃使用專門的數(shù)據(jù)庫(kù)漏洞掃描系統(tǒng)，對(duì)當(dāng)前系統(tǒng)中 重要數(shù)據(jù)庫(kù)進(jìn)行全面的安全漏洞檢測(cè)，有效暴露當(dāng)前數(shù)據(jù)庫(kù)系統(tǒng) 的安全問題，同時(shí)提出漏洞修復(fù)的建議，進(jìn)行整體安全加固。從 而提升數(shù)據(jù)庫(kù)系統(tǒng)整體的安全性。數(shù)據(jù)庫(kù)漏洞掃描系統(tǒng)的價(jià)值在于：分析內(nèi)部不安全配置，防止越權(quán)訪問：通過只讀賬戶， 實(shí)現(xiàn)由內(nèi)到外的檢測(cè)；提供現(xiàn)有數(shù)據(jù)的漏洞透視圖和數(shù)據(jù)庫(kù)配置 安全評(píng)估；避免內(nèi)外部的非授權(quán)訪問。發(fā)

8、現(xiàn)外部黑客攻擊漏洞，防止外部攻擊：實(shí)現(xiàn)非授權(quán)的 從外到內(nèi)的檢測(cè)；模擬黑客使用的漏洞發(fā)現(xiàn)技術(shù)，在沒有授權(quán)的 情況下，對(duì)目標(biāo)數(shù)據(jù)庫(kù)的安全性作深入的探測(cè)分析；收集外部人 員可以利用的數(shù)據(jù)庫(kù)漏洞的詳細(xì)信息。監(jiān)控?cái)?shù)據(jù)庫(kù)安全狀況，防止數(shù)據(jù)庫(kù)安全狀況惡化：對(duì)于數(shù)據(jù)庫(kù)建立安全基線，對(duì)數(shù)據(jù)庫(kù)進(jìn)行定期掃描，對(duì)所有安全狀況 發(fā)生的變化進(jìn)行報(bào)告和分析。1.2.數(shù)據(jù)庫(kù)安全加固本方案規(guī)劃使用數(shù)據(jù)庫(kù)加密產(chǎn)品，實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)中重要敏感 信息的安全保護(hù)，從存儲(chǔ)層、數(shù)據(jù)庫(kù)訪問控制層、應(yīng)用安全層面 實(shí)現(xiàn)全方位防止敏感信息泄密。數(shù)據(jù)庫(kù)加密系統(tǒng)的價(jià)值在于：存儲(chǔ)加密數(shù)據(jù)庫(kù)安全加固系統(tǒng)能夠?qū)崿F(xiàn)敏感數(shù)據(jù)的存儲(chǔ)加密，防止數(shù) 據(jù)從數(shù)據(jù)庫(kù)存儲(chǔ)文件和

9、備份文件中泄漏；實(shí)現(xiàn)涉密信息的存儲(chǔ)保 密性。三權(quán)分立通過提供安全管理員、審計(jì)管理員角色，使得數(shù)據(jù)庫(kù)安全從 管理上能實(shí)現(xiàn)DBA和安全管理員、審計(jì)管理員三者權(quán)限分離， 相互制約和監(jiān)督。獨(dú)立的權(quán)限控制可對(duì)重要敏感信息采用強(qiáng)制訪問控制策略。主體精確到數(shù)據(jù) 庫(kù)用戶、客體精確到信息的列級(jí)。能夠防止DBA等高權(quán)限、超級(jí)用戶對(duì)敏感數(shù)據(jù)信息的違規(guī) 訪問；細(xì)粒度訪問控制能夠通過指定IP地址和時(shí)間，盡量縮小敏感數(shù)據(jù)訪問的范 圍。安全審計(jì)能夠?qū)γ舾袛?shù)據(jù)的訪問行為，實(shí)現(xiàn)詳細(xì)審計(jì)，記錄訪問的時(shí) 間、地點(diǎn)，訪問的內(nèi)容等，進(jìn)行事后分析追蹤。1.3.數(shù)據(jù)庫(kù)安全防護(hù)及分析本方案規(guī)劃使用數(shù)據(jù)庫(kù)防火墻產(chǎn)品，通過防SQL注入、防 高危操作來阻止外部黑客攻擊者入侵行為，實(shí)時(shí)的告警，同時(shí)采 用防火墻產(chǎn)品中的審計(jì)能力，進(jìn)行事后分析。數(shù)據(jù)庫(kù)安全防護(hù)系統(tǒng)的價(jià)值在于：防控功能數(shù)據(jù)庫(kù)安全分析可以智能的識(shí)別SQL類型，從而靈活的構(gòu) 建行為模型，且能夠快速、準(zhǔn)確的配置和定位策略。此外，通過 智能的SQL識(shí)